グループ マネージド サービス アカウントを作成する

このトピックでは、Managed Service for Microsoft Active Directory でグループ マネージド サービス アカウント(gMSA)を作成する方法について説明します。これらの標準の手順に従ってアカウントを設定し、Managed Microsoft AD に関する次の特別な考慮事項を組み込む必要があります。

KDS ルートキーを作成しないでください

通常、ドメインで初めて gMSA を作成する際には、キー配布サービス(KDS)のルートキーを生成する必要があります。Managed Microsoft AD は、ドメインの作成時に KDS ルートキーを生成するため、標準の手順からこの手順をスキップできます。

KDS ルートキーを表示する

まず、Active Directory Sites and Services のツールがリモート サーバー管理ツール(RSAT)からインストールされていることを確認します。

KDS ルートキーを表示するには、次の手順を実行します。

  1. Windows で、Active Directory Sites and Services ツールを起動します。このツールを起動するには、[実行] コマンド ダイアログ ボックスを開いてから、dssite.msc を入力します。
  2. [Active Directory Sites and Services] ツールで、[表示] タブを選択します。
  3. [表示] メニューから、[Show Services Node] を選択します。
  4. 左側のペインで、[サービス] > [Group Key Distribution Service] > [Master Root Keys] を選択します。
  5. 右側のペインには、ドメインのキーの一覧が表示されます。キーを選択すると、その詳細が表示されます。

なお、Get-KdsRootKey PowerShell コマンドレットを実行すると、有効な KDS ルートキーが存在するにもかかわらず空のレスポンスが返されます。キーが表示されるのは、Get-KdsRootKey コマンドレットをドメイン管理者として実行した場合のみです。

Managed Service Accounts コンテナでアカウントを作成する

Managed Microsoft AD ドメインの場合、新しい gMSA は Managed Service Accounts コンテナの下に作成する必要があります。デフォルトでは、New-ADServiceAccount コマンドレットはこのロケーションに新しい gMSA を作成します。詳細については、New-ADServiceAccount コマンドレットをご覧ください。

Managed Service Accounts の管理を委任する

Managed Service Accounts コンテナの管理をユーザーに委任するには、Cloud Service Managed Service Account Administrators グループに追加します。Managed Microsoft AD が作成するグループの詳細については、グループをご覧ください。